行業(yè)背景
　　
　　金融行業(yè)按照客戶類型劃分可分為國有商業(yè)銀行（政策性商業(yè)銀行）、股份制商業(yè)銀行（大型股份制商業(yè)銀行、城市商業(yè)銀行、農(nóng)村信用社等）、證券、基金、期貨、保險等，近年來為加強金融行業(yè)信息科技風(fēng)險管理，各行業(yè)監(jiān)管機構(gòu)相繼出臺了針對信息科技安全的相關(guān)政策法規(guī)，如《商業(yè)銀行信息科技風(fēng)險管理指引》、《證券公司網(wǎng)上證券信息系統(tǒng)技術(shù)指引》、《期貨公司信息技術(shù)管理指引》和《保險公司信息化管理工作指引》，可以看出目前各個金融行業(yè)客戶對信息安全建設(shè)十分重視，紛紛加大信息科技管理方面的投入力度。
　　
　　行業(yè)需求現(xiàn)狀
　　
　　金融行業(yè)客戶出于信息業(yè)務(wù)安全和維護等多方面考慮，一般都會自己搭建數(shù)據(jù)中心，因此隨著銀行、證券行業(yè)業(yè)務(wù)量火熱發(fā)展，信息安全風(fēng)險也隨之增大，業(yè)務(wù)訪問效率同時也變成了網(wǎng)絡(luò)和應(yīng)用管理員zui頭疼的話題。
　　
　　商業(yè)銀行客戶的業(yè)務(wù)系統(tǒng)一般包括核心應(yīng)用系統(tǒng)、網(wǎng)上銀行系統(tǒng)、辦公系統(tǒng)、監(jiān)控系統(tǒng)、認證系統(tǒng)等；證券基金客戶的業(yè)務(wù)系統(tǒng)包括網(wǎng)上交易查詢系統(tǒng)、銀行結(jié)算系統(tǒng)、辦公系統(tǒng)和門戶等；保險行業(yè)客戶業(yè)務(wù)系統(tǒng)包括CRM系統(tǒng)、核心業(yè)務(wù)系統(tǒng)、保單管理系統(tǒng)、財務(wù)系統(tǒng)等。各類不同的行業(yè)客戶在信息系統(tǒng)建設(shè)和使用過程中都會遇到諸如物理層、網(wǎng)絡(luò)架構(gòu)、終端和操作系統(tǒng)、應(yīng)用系統(tǒng)、核心業(yè)務(wù)數(shù)據(jù)等多方面的安全和優(yōu)化問題，因此我們的方案主要針對以上各個方面。
　　
　　建議網(wǎng)絡(luò)解決方案：

　　
　　需求及方案要點：
　　
　　網(wǎng)絡(luò)攻擊及入侵（入侵防御系統(tǒng)防護）：當(dāng)銀行系統(tǒng)遇到互聯(lián)網(wǎng)的非法攻擊和入侵的時候，勢必對網(wǎng)上應(yīng)用和交易系統(tǒng)產(chǎn)生影響，造成訪問效率下降、網(wǎng)絡(luò)擁堵等狀況，采用主動式入侵防御系統(tǒng)利用高可靠識別攻擊，判斷入侵及攻擊行為并作出相應(yīng)的反應(yīng)來解決客戶遇到的上述問題。
　　
　　鏈路負載均衡（多鏈路控制器）：為了避免出現(xiàn)鏈路單點故障，保證鏈路接入的高可用性，銀行系統(tǒng)一般采用不同運營商的多條鏈路接入，采用鏈路負載均衡產(chǎn)品，把訪問外網(wǎng)資源的內(nèi)網(wǎng)用戶按照要求負載均衡到兩條鏈路，任何一條鏈路出現(xiàn)故障，都能夠?qū)崟r發(fā)現(xiàn)，自動把請求轉(zhuǎn)發(fā)至正常的鏈路；同時把訪問內(nèi)網(wǎng)資源的用戶自動導(dǎo)向到訪問的鏈路，并實時監(jiān)控鏈路的狀態(tài)，如果某一鏈路出現(xiàn)故障，自動切換到其他正常鏈路。
　　
　　安全區(qū)域劃分和隔離（防火墻）：客戶在數(shù)據(jù)中心根據(jù)不同的安全級別劃分出不同的訪問區(qū)域，不同的區(qū)域之間互相訪問需要通過安全設(shè)備進行隔離，根據(jù)不同的安全級別設(shè)定策略進行訪問控制，通過多種檢測機制，發(fā)現(xiàn)攻擊流量，實時進行阻斷，提高應(yīng)用系統(tǒng)的安全性。
　　
　　互聯(lián)網(wǎng)流量管理和優(yōu)化（全局流量控制器、Web加速器）：客戶開展電子商務(wù)和網(wǎng)上交易業(yè)務(wù)，需要考慮客戶端采用不同接入方式和終端種類，因此通過采用全局流量管理設(shè)備對處在不同地理位置和運營商接入的終端用戶選擇服務(wù)效率*的數(shù)據(jù)中心，采用Web加速設(shè)備利用數(shù)據(jù)流量優(yōu)化加速的手段提高訪問速度，確保客戶滿意度的提升。
　　
　　移動辦公接入（SSLVPN網(wǎng)關(guān)）：客戶為加強遠程辦公終端的安全性和易用性，采用SSLVPN的接入方式，利用對客戶端安全檢查、靈活定制訪問策略和權(quán)限的技術(shù)手段，滿足移動辦公用戶接入數(shù)據(jù)中心簡單方便。
　　
　　服務(wù)器負載均衡、應(yīng)用優(yōu)化（本地流量管理器）：由于網(wǎng)上交易系統(tǒng)都采用SSL加密的方式，對于如何卸載服務(wù)器在處理SSL加解密方面的壓力，在不影響服務(wù)器性能的前提下，對數(shù)據(jù)進行加解密就變成了一個重要的話題，使用本地流量管理器，把大量用戶的請求平均分發(fā)到多臺服務(wù)器上面，同時能夠?qū)?shù)據(jù)進行SSL加速，卸載服務(wù)器處理SSL加解密的壓力。在站點之內(nèi)，負載均衡產(chǎn)品能夠同時對Web前置服務(wù)器、應(yīng)用服務(wù)器、數(shù)據(jù)庫服務(wù)器、緩存服務(wù)器等多種服務(wù)器進行負載均衡。
　　
　　各類應(yīng)用安全防護（WEB防火墻、數(shù)據(jù)庫安全審計、動態(tài)口令認證系統(tǒng)）：客戶在數(shù)據(jù)中心的建設(shè)過程中zui重要的就是核心業(yè)務(wù)系統(tǒng)，它包含了至關(guān)重要的應(yīng)用系統(tǒng)服務(wù)器和核心數(shù)據(jù)，在核心業(yè)務(wù)系統(tǒng)中一般采用三層部署的標(biāo)準架構(gòu)，Web服務(wù)器、應(yīng)用服務(wù)器、數(shù)據(jù)庫，因此各類服務(wù)器的安全防護是客戶zui關(guān)心的重點，建議采用Web防火墻對Web服務(wù)器進行安全保護，避免針對服務(wù)器應(yīng)用層和源代碼攻擊的風(fēng)險，采用數(shù)據(jù)庫安全審計平臺對各類數(shù)據(jù)庫操作，數(shù)據(jù)表調(diào)用和修改的動作進行審計和告警，保證在數(shù)量繁多的用戶訪問數(shù)據(jù)庫的情況下行為能夠進行審計。動態(tài)口令認證系統(tǒng)確保網(wǎng)上交易系統(tǒng)用戶帳戶和口令的密碼保護，形成"雙因素"強身份認證。
　　
　　日志收集和分析（統(tǒng)一日志審計平臺）：在金融行業(yè)各個監(jiān)督管理機構(gòu)下發(fā)的政策法規(guī)文件中，日志統(tǒng)一收集、分析和保存是*的一項重點要求，系統(tǒng)日志保存期限按照風(fēng)險等級不同來區(qū)分，至少不得少于一年，采用統(tǒng)一日志審計平臺能夠滿足各種法規(guī)政策的要求，制定相關(guān)策略和流程，管理所有生產(chǎn)系統(tǒng)的活動日志，以支持有效的審核、安全取證分析和預(yù)防欺詐。
　　
　　不同平臺和品牌的存儲之間協(xié)同優(yōu)化（虛擬存儲系統(tǒng)）：客戶在構(gòu)建數(shù)據(jù)存儲系統(tǒng)的時候如果采用了異構(gòu)的部署方式，系統(tǒng)中會出現(xiàn)不同平臺和品牌的存儲服務(wù)器，使用起來會造成很大的不便，采用虛擬存儲系統(tǒng)可以把各種基于NAS協(xié)議的存儲服務(wù)進行虛擬化管理，實現(xiàn)無縫數(shù)據(jù)遷移、存儲負載均衡和異構(gòu)部署等多種優(yōu)化功能。
　　
　　金融行業(yè)部分解決方案目錄：